Práticas recomendadas para contêineres

Nesta página, você encontra informações sobre práticas recomendadas para criar e executar imagens de contêiner.

Como criar contêineres

A abordagem que você adota para criar imagens de contêiner pode afetar a velocidade de builds e implantações, bem como o esforço necessário para manter suas imagens.

Leia as práticas recomendadas do Docker para criar imagens.

Considerações sobre registros públicos

Considere cuidadosamente os seguintes casos:

Como usar imagens de fontes públicas

Ao usar imagens de fontes públicas, como o Docker Hub, você introduz código que sua organização não controla na cadeia de suprimentos de software. Para reduzir os riscos, faça o seguinte:

  • Crie suas próprias imagens para controlar o conteúdo delas.
  • Use uma imagem de base padronizada e crie com base nela.
  • Verificar vulnerabilidades em imagens e corrigir as identificadas.
  • Aplique padrões e políticas nas imagens implantadas.
Como tornar seus registros públicos

É possível tornar o registro no projeto Google Cloud público concedendo acesso de leitura ao bucket de armazenamento do registro para a identidade allUsers.

Se todos os seus usuários tiverem contas Google Cloud , limite o acesso a usuários autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um registro público:

  • Verifique se todas as imagens armazenadas no registro podem ser compartilhadas publicamente e não expõem credenciais, dados pessoais ou confidenciais.
  • Você recebe uma cobrança pela saída de rede quando os usuários extraem imagens. Se você espera um grande volume de tráfego de download da Internet, considere os custos associados.
  • Por padrão, os projetos têm uma cota por usuário ilimitada. Para evitar abusos, limite as cotas por usuário no seu projeto.

Remover imagens não usadas

Remova imagens de contêiner não usadas para reduzir os custos de armazenamento e mitigar os riscos de usar software mais antigo. Há várias ferramentas disponíveis para ajudar com essa tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.

Como avaliar a segurança do contêiner

O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.

Como proteger implantações

Saiba como criar uma cadeia de suprimentos de software segura e como usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas de implantação.

Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.